Почему сервер был перезагружен ?
 

Доброго времени суток!
Зашел на один из своих серверов по RDP – заметил странную вещь, сервер был почему то перезагружен. ОС Windows 2008 R2 Перед этим было вот что:

Выполнена попытка входа в систему с явным указанием учетных данных. (событие 4647)
Зашел на секунду и вышел. После этого пошли события 4907 Аудит. В систем логе кроме как выключения сетевых интерфейсов в этот момент больше ничего не нашел.
Как-то жутко стало, что происходит то?
Как вообще понять почему сервер был перезагружен? Из логов это не совсем очевидно. Моя паранойя подсказывает, что кто-то пробрался и пытается ботоводить.

Заранее спасибо!

Добрый день. Что на сервере крутится? Сервер виртуальный или железный? Фаерволы есть? Кто такой usr? Места на жестком диске хватает? По каким признакам определили, что сервер перезагружался?

Drinkins, добрый день!
На сервере крутиться база MS SQL 2012 и сервер приложения.

Железный.

Есть, виндовый, но к сожалению 1433 открыт во вне. Китайские боты долбили, но я все их диапазоны зафильтровал.

Только сейчас присмотрелся. usr это пользователь на моем рабочем пк. Сomputer это и есть мой рабочий пк, у меня на нем (на рабочем пк) создана шара, на которую с сервера можно зайти. Так странно.

Хватает.

Был сброшен аптайм и были закрыты все окна и приложения с момента последнего сеанса RDP.

Может быть такое, что ребутнулся из-за какой-то хардовой проблемы...

А для безопасности я бы отключил доступ к RDP всем, кроме админа, сам RDP перекинуть на нестандартный порт, а сервер добавить в консоль управления домен контроллера, чтоб администрировать сервер не заходя на него.

Поищите событие 1074 в системном логе событий, а также по ключевому слову "shut". Первое событие - показывает кто инициирует плановые рестарты; поиск по слову - ошибки из-за внеплановых рестартов.